Berlaku untuk:
Azure SQL DatabaseAzure SQL Managed Instance
Artikel ini memandu Anda mengaktifkan autentikasi Microsoft Entra-only dengan fitur Azure SQL dalam Azure SQL Database dan Azure SQL Managed Instance. Jika Anda ingin menyediakan SQL Database atau SQL Managed Instance dengan autentikasi Microsoft Entra-only diaktifkan, lihat Membuat server dengan autentikasi khusus Microsoft Entra yang diaktifkan di Azure SQL.
Catatan
ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).
Dalam tutorial ini, Anda akan mempelajari cara:
- Menetapkan peran untuk mengaktifkan autentikasi Microsoft Entra-only
- Mengaktifkan autentikasi Microsoft Entra-only menggunakan portal Azure, Azure CLI, atau PowerShell
- Periksa apakah autentikasi khusus Microsoft Entra diaktifkan
- Uji koneksi ke Azure SQL
- Menonaktifkan autentikasi Microsoft Entra-only menggunakan portal Azure, Azure CLI, atau PowerShell
Prasyarat
Menetapkan peran untuk mengaktifkan autentikasi Microsoft Entra-only
Untuk mengaktifkan atau menonaktifkan autentikasi Microsoft Entra-only, peran bawaan yang dipilih diperlukan untuk pengguna Microsoft Entra yang menjalankan operasi ini dalam tutorial ini. Kami akan menetapkan peran Pengelola Keamanan SQL ke pengguna dalam tutorial ini.
Untuk informasi selengkapnya tentang cara menetapkan peran ke akun Microsoft Entra, lihat Menetapkan peran administrator dan non-administrator kepada pengguna dengan ID Microsoft Entra
Untuk informasi selengkapnya tentang izin yang diperlukan untuk mengaktifkan atau menonaktifkan autentikasi Microsoft Entra-only, lihat bagian Izin dari artikel autentikasi khusus Microsoft Entra.
Dalam contoh kami, kami akan menetapkan peran Pengelola Keamanan SQL ke pengguna UserSqlSecurityManager@contoso.onmicrosoft.com. Menggunakan pengguna istimewa yang dapat menetapkan peran Microsoft Entra, masuk ke portal Azure.
Buka sumber daya server SQL Anda, dan pilih Kontrol akses (IAM) di menu. Pilih tombol Tambahkan lalu Tambahkan penetapan peran di daftar dropdown.
Di panel Tambahkan penetapan peran, pilih Role SQL Security Manager, dan pilih pengguna yang ingin Anda miliki kemampuan untuk mengaktifkan atau menonaktifkan autentikasi khusus Microsoft Entra.
Pilih Simpan.
Mengaktifkan autentikasi khusus Microsoft Entra
Aktifkan di SQL Database menggunakan portal Microsoft Azure
Untuk mengaktifkan autentikasi Microsoft Entra-only di portal Azure, ikuti langkah-langkah berikut:
Menggunakan pengguna dengan peran Pengelola Keamanan SQL, buka portal Microsoft Azure.
Buka sumber daya server SQL Anda, dan pilih ID Microsoft Entra di bawah menu Pengaturan .
Jika Anda belum menambahkan admin Microsoft Entra, Anda harus mengaturnya sebelum dapat mengaktifkan autentikasi Microsoft Entra-only.
Centang kotak untuk Dukungan hanya autentikasi Microsoft Entra untuk server ini.
Popup Aktifkan autentikasi khusus Microsoft Entra akan ditampilkan. Pilih Ya untuk mengaktifkan fitur dan Simpan pengaturan.
Aktifkan di SQL Managed Instance menggunakan portal Microsoft Azure
Untuk mengaktifkan autentikasi Microsoft Entra-only di portal Azure, lihat langkah-langkah di bawah ini.
Menggunakan pengguna dengan peran Pengelola Keamanan SQL, buka portal Microsoft Azure.
Buka sumber daya instans terkelola SQL Anda, dan pilih admin Microsoft Entra di bawah menu Pengaturan.
Jika Anda belum menambahkan admin Microsoft Entra, Anda harus mengaturnya sebelum dapat mengaktifkan autentikasi Microsoft Entra-only.
Pilih kotak centang Hanya Dukung autentikasi Microsoft Entra untuk instans terkelola ini.
Popup Aktifkan autentikasi khusus Microsoft Entra akan ditampilkan. Pilih Ya untuk mengaktifkan fitur dan Simpan pengaturan.
Aktifkan di SQL Database menggunakan Azure CLI
Untuk mengaktifkan autentikasi khusus Microsoft Entra di Azure SQL Database menggunakan Azure CLI, lihat perintah di bawah ini.
Pasang versi terbaru Azure CLI. Anda harus memiliki versi Azure CLI 2.14.2 atau lebih tinggi. Untuk informasi selengkapnya tentang perintah, lihat az sql server ad-only-auth.
Untuk informasi selengkapnya tentang mengelola autentikasi Microsoft Entra-only menggunakan API, lihat Mengelola autentikasi khusus Microsoft Entra menggunakan API.
Catatan
Admin Microsoft Entra harus diatur untuk server sebelum mengaktifkan autentikasi Microsoft Entra-only. Jika tidak, perintah Azure CLI akan gagal.
Untuk izin dan tindakan yang diperlukan pengguna yang melakukan perintah ini untuk mengaktifkan autentikasi khusus Microsoft Entra, lihat artikel autentikasi khusus Microsoft Entra.
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
az login
Jalankan perintah berikut ini, ganti <myserver> dengan nama server SQL Anda, dan <myresource> dengan Azure Resource Anda yang menyimpan server SQL.
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
Aktifkan di SQL Managed Instance menggunakan Azure CLI
Untuk mengaktifkan autentikasi Microsoft Entra-only di Azure SQL Managed Instance menggunakan Azure CLI, lihat perintah di bawah ini.
Pasang versi terbaru Azure CLI.
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
az login
Jalankan perintah berikut ini, ganti <myserver> dengan nama server SQL Anda, dan <myresource> dengan Azure Resource Anda yang menyimpan server SQL.
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
Aktifkan di SQL Database menggunakan PowerShell
Untuk mengaktifkan autentikasi khusus Microsoft Entra di Azure SQL Database menggunakan PowerShell, lihat perintah di bawah ini. Modul Az.Sql 2.10.0 atau lebih tinggi diperlukan untuk menjalankan perintah ini. Untuk informasi selengkapnya tentang perintah ini, lihat Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.
Untuk informasi selengkapnya tentang mengelola autentikasi Microsoft Entra-only menggunakan API, lihat Mengelola autentikasi khusus Microsoft Entra menggunakan API
Catatan
Admin Microsoft Entra harus diatur untuk server sebelum mengaktifkan autentikasi Microsoft Entra-only. Jika tidak, perintah PowerShell akan gagal.
Untuk izin dan tindakan yang diperlukan pengguna yang melakukan perintah ini untuk mengaktifkan autentikasi khusus Microsoft Entra, lihat artikel autentikasi khusus Microsoft Entra. Jika pengguna tidak memiliki izin yang cukup, Anda akan mendapatkan kesalahan berikut:
Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
Connect-AzAccount
Jalankan perintah berikut ini, ganti <myserver> dengan nama server SQL Anda, dan <myresource> dengan Azure Resource Anda yang menyimpan server SQL.
Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Aktifkan di SQL Managed Instance menggunakan PowerShell
Untuk mengaktifkan autentikasi Microsoft Entra-only di Azure SQL Managed Instance menggunakan PowerShell, lihat perintah di bawah ini. Modul Az.Sql 2.10.0 atau lebih tinggi diperlukan untuk menjalankan perintah ini.
Untuk informasi selengkapnya tentang mengelola autentikasi Microsoft Entra-only menggunakan API, lihat Mengelola autentikasi khusus Microsoft Entra menggunakan API.
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
Connect-AzAccount
Jalankan perintah berikut, mengganti <myinstance> dengan nama Azure SQL Managed Instance Anda, dan <myresource> dengan Sumber Daya Azure Anda yang menyimpan SQL Managed Instance.
Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Periksa status autentikasi khusus Microsoft Entra
Periksa apakah autentikasi khusus Microsoft Entra diaktifkan untuk server atau instans Anda.
Memeriksa status di Azure SQL Database
Buka sumber daya SQL server di portal Microsoft Azure. Pilih ID Microsoft Entra di bawah menu Pengaturan .
Memeriksa status di SQL Managed Instance
Buka sumber daya SQL Managed Instance Anda di portal Microsoft Azure. Pilih admin Microsoft Entra di bawah menu Pengaturan .
Perintah ini dapat digunakan untuk memeriksa apakah autentikasi Microsoft Entra-only diaktifkan untuk server logis Anda untuk Azure SQL Database, atau SQL Managed Instance. Anggota peran Kontributor SQL Server dan Kontributor SQL Managed Instance dapat menggunakan perintah ini untuk memeriksa status autentikasi khusus Microsoft Entra, tetapi tidak dapat mengaktifkan atau menonaktifkan fitur.
Memeriksa status di Azure SQL Database
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL. Untuk informasi selengkapnya tentang mengelola autentikasi Microsoft Entra-only menggunakan API, lihat Mengelola autentikasi khusus Microsoft Entra menggunakan API
az login
Jalankan perintah berikut ini, ganti <myserver> dengan nama server SQL Anda, dan <myresource> dengan Azure Resource Anda yang menyimpan server SQL.
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
Anda akan menemukan output berikut:
{
"azureAdOnlyAuthentication": true,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
Memeriksa status di SQL Managed Instance
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
az login
Jalankan perintah berikut ini, ganti <myserver> dengan nama server SQL Anda, dan <myresource> dengan Azure Resource Anda yang menyimpan server SQL.
az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
Anda akan menemukan output berikut:
{
"azureAdOnlyAuthentication": true,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
Perintah ini dapat digunakan untuk memeriksa apakah autentikasi Microsoft Entra-only diaktifkan untuk server logis Anda untuk Azure SQL Database, atau SQL Managed Instance. Anggota peran Kontributor SQL Server dan Kontributor SQL Managed Instance dapat menggunakan perintah ini untuk memeriksa status autentikasi khusus Microsoft Entra, tetapi tidak dapat mengaktifkan atau menonaktifkan fitur.
Status akan mengembalikan True jika fitur diaktifkan, dan False jika dinonaktifkan.
Memeriksa status di Azure SQL Database
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL. Untuk informasi selengkapnya tentang mengelola autentikasi Microsoft Entra-only menggunakan API, lihat Mengelola autentikasi khusus Microsoft Entra menggunakan API
Connect-AzAccount
Jalankan perintah berikut ini, ganti <myserver> dengan nama server SQL Anda, dan <myresource> dengan Azure Resource Anda yang menyimpan server SQL.
Get-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Memeriksa status di SQL Managed Instance
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
Connect-AzAccount
Jalankan perintah berikut, mengganti <myinstance> dengan nama Azure SQL Managed Instance Anda, dan <myresource> dengan Sumber Daya Azure Anda yang menyimpan SQL Managed Instance.
Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Uji autentikasi SQL dengan kegagalan koneksi
Setelah mengaktifkan autentikasi Microsoft Entra-only, uji dengan SQL Server Management Studio (SSMS) untuk menyambungkan ke SQL Database atau SQL Managed Instance Anda. Menggunakan autentikasi SQL untuk koneksi.
Anda akan melihat pesan kegagalan masuk serupa dengan output berikut:
Cannot connect to <myserver>.database.windows.net.
Additional information:
Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
Please contact your system administrator. (Microsoft SQL Server, Error: 18456)
Menonaktifkan autentikasi Microsoft Entra-only
Dengan menonaktifkan fitur autentikasi Microsoft Entra-only, Anda mengizinkan autentikasi SQL dan autentikasi Microsoft Entra untuk Azure SQL.
Nonaktifkan di SQL Database menggunakan portal Microsoft Azure
- Menggunakan pengguna dengan peran Pengelola Keamanan SQL, buka portal Microsoft Azure.
- Buka sumber daya server SQL Anda, dan pilih ID Microsoft Entra di bawah menu Pengaturan .
- Untuk menonaktifkan fitur autentikasi Microsoft Entra-only, hapus centang pada kotak centang Hanya dukungan autentikasi Microsoft Entra untuk server ini dan Simpan pengaturan.
Nonaktifkan di SQL Managed Instance menggunakan portal Microsoft Azure
- Menggunakan pengguna dengan peran Pengelola Keamanan SQL, buka portal Microsoft Azure.
- Buka sumber daya SQL Managed Instance, dan pilih admin AD DS di bawah menu Pengaturan.
- Untuk menonaktifkan fitur autentikasi Microsoft Entra-only, hapus centang pada kotak centang Mendukung hanya autentikasi Microsoft Entra untuk instans terkelola ini dan Simpan pengaturan.
Nonaktifkan di SQL Database menggunakan Azure CLI
Untuk menonaktifkan autentikasi Microsoft Entra-only di Azure SQL Database menggunakan Azure CLI, lihat perintah di bawah ini.
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
az login
Jalankan perintah berikut ini, ganti <myserver> dengan nama server SQL Anda, dan <myresource> dengan Azure Resource Anda yang menyimpan server SQL.
az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
Setelah menonaktifkan autentikasi Microsoft Entra-only, Anda akan melihat output berikut saat memeriksa status:
{
"azureAdOnlyAuthentication": false,
"/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/servers"
}
Nonaktifkan di SQL Managed Instance menggunakan Azure CLI
Untuk menonaktifkan autentikasi Microsoft Entra-only di Azure SQL Managed Instance menggunakan Azure CLI, lihat perintah di bawah ini.
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
az login
Jalankan perintah berikut ini, ganti <myserver> dengan nama server SQL Anda, dan <myresource> dengan Azure Resource Anda yang menyimpan server SQL.
az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
Setelah menonaktifkan autentikasi Microsoft Entra-only, Anda akan melihat output berikut saat memeriksa status:
{
"azureAdOnlyAuthentication": false,
"id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
"name": "Default",
"resourceGroup": "myresource",
"type": "Microsoft.Sql/managedInstances"
}
Nonaktifkan di SQL Database menggunakan PowerShell
Untuk menonaktifkan autentikasi Microsoft Entra-only di Azure SQL Database menggunakan PowerShell, lihat perintah di bawah ini.
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
Connect-AzAccount
Jalankan perintah berikut ini, ganti <myserver> dengan nama server SQL Anda, dan <myresource> dengan Azure Resource Anda yang menyimpan server SQL.
Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver> -ResourceGroupName <myresource>
Nonaktifkan di SQL Managed Instance menggunakan PowerShell
Untuk menonaktifkan autentikasi Microsoft Entra-only di Azure SQL Managed Instance menggunakan PowerShell, lihat perintah di bawah ini.
Masuk ke Azure menggunakan akun dengan peran Pengelola Keamanan SQL.
Connect-AzAccount
Jalankan perintah berikut, mengganti <myinstance> dengan nama SQL Managed Instance Anda, dan <myresource> dengan Sumber Daya Azure Resource Anda yang menyimpan instans terkelola.
Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
Uji koneksi ke Azure SQL lagi
Setelah menonaktifkan autentikasi Microsoft Entra-only, uji koneksi menggunakan login autentikasi SQL. Anda sekarang dapat terhubung ke server atau instans Anda.
Konten terkait
